CentOS Stream 9
Sponsored Link

FreeIPA : レプリケーションの設定
2022/03/23
 
FreeIPA レプリケーションの設定です。
当例では以下のような環境を例にします。
+----------------------+          |          +----------------------+
| [  FreeIPA Master ]  |10.0.0.40 | 10.0.0.61| [  FreeIPA Replica ] |
|  dlp.ipa.srv.world   +----------+----------+ node01.ipa.srv.world |
|                      |                     |                      |
+----------------------+                     +----------------------+

[1]
[2] FreeIPA マスターホスト上で、レプリカサーバーとしたいホストを [ipaservers] グループに追加します。
また、レプリカサーバーの設定時、マスターホストやレプリカホストは正常に逆引きが可能であることが必要です。
FreeIPA 統合 DNS を使用中 且つ 逆引きゾーン未設定の場合は、以下のように設定します。
[root@dlp ~]#
ipa hostgroup-add-member ipaservers --hosts node01.ipa.srv.world

  Host-group: ipaservers
  Description: IPA server hosts
  Member hosts: dlp.ipa.srv.world, node01.ipa.srv.world
-------------------------
Number of members added 1
-------------------------

# FreeIPA 統合 DNS に逆引きゾーン未設定の場合は設定
# 下例は [10.0.0.0/24] の逆引きゾーン

[root@dlp ~]#
ipa dnszone-add 0.0.10.in-addr.arpa
# 逆引きゾーンに PTR レコード追加

[root@dlp ~]#
ipa dnsrecord-add 0.0.10.in-addr.arpa 40 --ptr-rec dlp.ipa.srv.world.

[root@dlp ~]#
ipa dnsrecord-add 0.0.10.in-addr.arpa 61 --ptr-rec node01.ipa.srv.world.
# firewalld 稼働中の場合は以下も設定

[root@dlp ~]#
firewall-cmd --add-service=freeipa-replication

success
[root@dlp ~]#
firewall-cmd --runtime-to-permanent

success
[3] レプリカサーバーとしたいホスト上でレプリケーションの設定をします。
# firewalld 稼働中の場合は事前に設定

[root@node01 ~]#
firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp,freeipa-replication}

success
[root@node01 ~]#
firewall-cmd --runtime-to-permanent

success
[root@node01 ~]#
dnf -y install freeipa-server freeipa-server-dns
# レプリケーション セットアップ
# DNS フォワーダーを設定する場合は [--forwarder=xxx.xxx.xxx.xxx] を指定

[root@node01 ~]#
ipa-replica-install --setup-ca --setup-dns --no-forwarders

Run connection check to master
Connection check OK
Disabled p11-kit-proxy
Configuring directory server (dirsrv). Estimated time: 30 seconds
  [1/38]: creating directory server instance
Validate installation settings ...
Create file system structures ...
Perform SELinux labeling ...
Create database backend: dc=ipa,dc=srv,dc=world ...
Perform post-installation tasks ...
  [2/38]: tune ldbm plugin
  [3/38]: adding default schema

.....
.....

  [5/7]: activating sidgen task
  [6/7]: restarting Directory Server to take MS PAC and LDAP plugins changes into account
  [7/7]: adding fallback group
Fallback group already set, nothing to do
Done.
The ipa-replica-install command was successful
[4] 正常にセットアップが完了すると、レプリカサーバーホスト上でも既存ユーザーの検索やユーザーアカウントの追加等々が実施可能です。
[root@node01 ~]#
kinit admin

Password for admin@IPA.SRV.WORLD:
[root@node01 ~]#
ipa user-find

---------------
5 users matched
---------------
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@IPA.SRV.WORLD, root@IPA.SRV.WORLD
  UID: 1079000000
  GID: 1079000000
  Account disabled: False

  User login: cent
  First name: cent
  Last name: cent
  Home directory: /home/cent
  Login shell: /bin/sh
  Principal name: cent@IPA.SRV.WORLD
  Principal alias: cent@IPA.SRV.WORLD
  Email address: cent@ipa.srv.world
  UID: 1079000003
  GID: 1079000003
  Account disabled: False
.....
.....
関連コンテンツ